Есть ли дистрибутив Linux, который запрещает пользователю root изменять/удалять файлы/каталоги в домашнем каталоге другого пользователя? Я наткнулся на инструменты, которые позволяют шифровать домашний каталог. Но я хочу, чтобы другие пользователи могли читать файлы, но не изменять или удалять их.
Если это невозможно в Linux, знает ли кто-нибудь из вас какую-либо другую ОС, которая это позволяет?
решение1
Вы задаете неправильный вопрос, если хотите получить ответ, отличный от "Нет" - root не может быть ограничен в выполнениичто-либо(включая изменение разрешений, но может ли *божество* установить разрешения настолько строгие, что даже оно не сможет их обойти?).
Вероятно, вы хотите иметь возможность выдавать пользователям некоторые административные привилегии (установка программ и т.п.), не делая их всемогущими в системе. Для этого вы можете использовать, например,sudo
с ограничениями на уровне пользователя/группы.
решение2
Пользователь root может изменять что угодно в домашнем каталоге любого пользователя, так задумано.
Чтобы пользователи могли читать, но не изменять файлы, вам придется использовать группы и предоставить файлам разрешение только для чтения. Пример, иллюстрирующий ваш вариант использования, доступен по адресуздесь:
решение3
Если вы измените свой каталог /home на монтирование NFS, вы можете использовать опцию root_squash, чтобы сопоставить пользователя root на локальном компьютере с анонимным пользователем на сервере NFS. Это не позволит пользователю root на вашем компьютере изменять файлы в /home.
Однако, хотя root никогда не может изменять файлы других пользователей на сервере NFS, будьте осторожны, что существуют вредоносные действия, которые root все еще может сделать. Например, root может размонтировать /home и заменить его на кажущийся дубликат /home, в который он может записывать. Он также может смонтировать поддельную файловую систему поверх домашнего каталога другого пользователя, в который он также может записывать. Хотя исходные файлы будут по-прежнему в безопасности и нетронутыми на сервере NFS, ваши пользователи не будут знать, как искать этот трюк, и вы можете столкнуться с любой проблемой, которую пытались избежать.